我们通过 kerberos 在所有主机上进行无密码登录。
我们有用户帐户和共享帐户 - 所有帐户(主机和 sudo 访问)都通过 LDAP(RedHat 的 FreeIPA)进行管理。
现在,如果我们向人类用户授予对一台特定主机上的共享软件帐户的 shell 访问权限(这仅通过 IPA sudorule 完成)(有时我们必须这样做),则人类用户可以 ssh 到该软件帐户具有访问权限的其他主机该软件帐户,但未授予人类用户访问权限。
为了显示:
- human_user 可以 sudo 作为 software_account 因为它具有访问权限:
-> [email protected]: sudo -u software_account -i
-> [email protected]: ssh host2.com
-> [email protected]:
- human_user 只能在 host1 上访问 software_account,但现在它也可以访问 host2,因为 software_account 可以访问 host2